Privileged Identity Management で Azure リソース ロールに対する要求を承認または拒否する
Microsoft Entra Privileged Identity Management (PIM) を使用すると、アクティブ化の承認が必要となるようにロールを構成し、委任された承認者として Microsoft Entra 組織からユーザーまたはグループを選択することができます。 特権ロール管理者のワークロードを減らすには、ロールごとに 2 人以上の承認者を選択することをお勧めします。 代理承認者は、要求を承認するまでに 24 時間あります。 要求が 24 時間以内に承認されない場合、対象ユーザーは新しい要求を再送信する必要があります。 24 時間の承認時間枠は構成を変えることができません。
Azure リソース ロールの要求を承認または拒否するには、この記事の手順に従ってください。
保留中の要求を表示する
Azure リソース ロール要求が、代理承認者であるあなたの承認を待っている状態になると、あなたに電子メール通知が届きます。 これらの保留中の要求は、Privileged Identity Management で表示できます。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[要求の承認] に移動します。
![レビュー要求を示す **[要求の承認 - Azure リソース] ページ** のスクリーンショット。](media/pim-resource-roles-approval-workflow/resources-approve-requests.png)
[ロールのアクティブ化に関する要求] セクションに、承認が保留中の要求の一覧が表示されます。
要求の承認
- 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
- [理由] ボックスに、業務上の正当な理由を入力します。
- [承認] を選択します。 承認の Azure 通知を受け取ります。
Microsoft Azure Resource Manager API を使用して保留中の要求を承認する
Note
現在、延長および更新要求の承認は Microsoft ARM API ではサポートされていません
承認が必要なステップの ID を取得する
ロールの割り当てを承認するすべてのステージの詳細を取得するには、Role Assignment Approval Step - Get By ID REST API を使用できます。
HTTP 要求
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
アクティブ化要求の手順を承認する
HTTP 要求
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 応答
PATCH の呼び出しに成功すると、空の応答が生成されます。
詳細については、ロールの割り当ての承認を使用して REST API による PIM ロールのアクティブ化要求を承認することに関する記事を参照してください
要求を拒否する
- 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
- [理由] ボックスに、業務上の正当な理由を入力します。
- [拒否] を選択します。 拒否すると同時に通知が表示されます。
ワークフロー通知
ワークフロー通知に関するいくつかの情報を次に示します。
- ロールの要求のレビューが保留中の場合、承認者にメールで通知されます。 電子メール通知には、承認者が承認または拒否できる、要求への直接リンクが含まれています。
- 要求は、承認または拒否した最初の承認者によって解決されます。
- 承認者が要求に応答すると、すべての承認者にその動作が通知されます。
- リソース管理者には、承認されたユーザーがそのロール内でアクティブになると通知されます。
Note
承認されたユーザーをアクティブにしないほうがよいと見なしたリソース管理者は、Privileged Identity Management でアクティブなロールの割り当てを削除できます。 リソース管理者は、承認者でない限り、保留中の要求の通知を受け取りませんが、Privileged Identity Management で保留中の要求を表示することで、すべてのユーザーの保留中の要求を確認およびキャンセルできます。